その他のリソース

リリースノート

ビデオチュートリアム

サポートナレッジベース
(ログインが必要です)

Patchの概要

Patchを使用して、企業全体のオペレーティングシステムパッチをTaniumの速度と規模で管理し、迅速に1つのパッチをコンピュータグループに適用できます。高度なルールセットやメンテナンスウインドウを使用して、指定した時間に環境全体にパッチのグループを配信するなど、より複雑なタスクを実行することもできます。

カスタムワークフローを定義、パッチリスト、ブラックリスト、およびメンテナンスウインドウ毎に設定されたルールまたは例外に基づいてパッチ配信をスケジュールすることができます。たとえば、データセンターにあるサーバを除くすべてのコンピュータにクリティカルなMicrosoftのパッチを適用したり、.NETパッチを常に除外したり、勤務時間外にパッチをインストールしたりすることができます。

Patchは詳細なレポートを生成し、すべてのエンドポイントから現在の適用可能なパッチリストを返します。パッチまたはパッチリストの配信には、次の詳細情報が含まれます:

  • 重要度、リリース日、適用されるCVE (Common Vulnerabilities and Exposures)、ファイルおよびナレッジベース記事へのリンクなどのパッチの詳細。
  • コンピュータグループごとに分割されたパッチの状態。
  • 割り当てられたパッチリストまたはそのブラックリスト。

パッチスキャンオプション

いくつかのスキャン方法から選択して、ネットワーク上のインストールされたパッチと不足しているパッチを特定することができます。スキャン構成Enforcementと呼ばれ、スキャン方法、スキャン頻度、スキャンされているコンピュータグループを定義します。1つのスキャン構成がエンドポイントに適用されます。エンドポイントが複数のコンピュータグループに含まれている場合、最優先のスキャン構成が適用されます。

次のスキャンオプションの一覧を確認し、各コンピュータグループに最適な方法を決定します。

T: 表1: 利用可能なパッチスキャンオプション
スキャン方法 プラットフォームOS 含まれる更新 クライアントの影響 接続性 詳細
オフラインCABファイル Windows
  • セキュリティ更新
  • サービスパック
スキャン中の変更:中程度 CABファイルは、Tanium Clientによってローカルに保存されます。
  • CABファイルのダウンロードに200MB以上の空き容量が必要です。
  • WSUSまたはOnline to Microsoftのスキャン方法に含まれている定期更新プログラム、アウトオブバンドの修正プログラム、および拡張プログラムは含まれません。
Online to Microsoft Windows
  • スキャン中:重要なアップデート、セキュリティアップデート、定義のアップデート、ロールアップアップデート、サービスパック、ツール、機能パック、アップデート、アップグレード、ドライバ
  • インストール中:重要なアップデート、セキュリティアップデート、定義のアップデート、ロールアップアップデート、サービスパック、ツール、アップデート、アップグレード
  • 初回スキャン実行時:中程度
  • 後続処理:低程度
Tanium ClientはMicrosoftに直接通信する必要があります。
  • Microsoftへ直接ネットワークトラフィックを追加する必要があります。
  • 機能パックおよびドライバのアップデートは、インストールのためにブラックリスト化する必要があります。
Windows Server Update Services (WSUS)スキャン Windows
  • スキャン中:重要なアップデート、セキュリティアップデート、定義のアップデート、ロールアップアップデート、サービスパック、ツール、機能パック、アップデート、アップグレード、ドライバ
  • インストール中:重要なアップデート、セキュリティアップデート、定義のアップデート、ロールアップアップデート、サービスパック、ツール、アップデート、アップグレード
低度 Tanium ClientはWSUSサーバに通信する必要があります。
  • 1つ以上のWSUSサーバを適用して構成する必要があります。
  • 更新プログラムは、スキャンまたは適用する前にWSUSで承認されている必要があります。
  • 機能パックおよびドライバのアップデートは、インストールのためにブラックリスト化する必要があります。
リポジトリスキャン
  • Red Hat
  • CentOS
YUMリポジトリのすべての更新 スキャン中の変更:中程度 Tanium Clientは、スキャンまたはパッチダウンロードする場合、YUMリポジトリに連絡する必要があります。
  • 1つまたは複数のYUMリポジトリをデプロイおよび構成する必要があります。
  • 更新はYUMリポジトリに保持する必要があります。
Taniumスキャン
  • Red Hat
  • CentOS
YUMリポジトリのすべての更新 スキャン中の変更:中程度 Tanium Clientは、リポジトリスキャンロジックをローカルに保存します。
  • 内部または外部のYUMリポジトリを使用できます。
  • Tanium ServerのみYUMリポジトリへの接続が必要です。

WSUSサーバでMicrosoft System Center Configuration Manager (SCCM)を使用している場合は、同じサーバでTaniumを使用してWSUSスキャンをしないでください。

パッチリストとブラックリスト

パッチリストに適用可能なパッチを1つのグループとして登録することができます。またブラックリストに除外しなければならないパッチを1つのグループとして登録することができます。これらのリストは、パッチ情報に含まれている詳細によって判断できます。たとえば、次のことができます:

  • 重要度に基づいてリストを作成し、最も重要で最新の更新プログラムを最優先で適用します。
  • CVEの問題のみに焦点を当てます。
  • 月または特定のリリース日に基づいてリストを作成します。

新しいパッチが出てきたら、動的ルールを使用して自動的に判定し、適切なパッチリストに追加します。新しいバージョンを作成することでこれらのリストを繰り返し作成することができます。必要に応じて、任意のバージョンリストを適用できます。

代替パッチ

各パッチには代替パッチの有無を示すカラムが含まれています。あるパッチが置き換えられたことを1つのエンドポイントが報告すると、そのパッチは代替パッチとしてマークされます。パッチリストに代替パッチのカラムを含めると、代替パッチを見つけたり、インストールしたりする場合に便利です。たとえば、セキュリティ勧告の推奨事項で参照されている場合は、代替パッチを探し、インストールしなければならない場合があります。代替パッチは自動的にブラックリストに含まれます。

Microsoftアップデートとサービスの詳細

2016年10月、Microsoftはエンドポイントのオペレーティングシステムに基づいてソフトウェアパッチの更新方法を変更しました。これらの用語は変更される可能性がありますが、ネットワークにどのように影響するかを認識することが重要です。

  • Windows 10およびWindows 2016
    • Feature Upgrades (機能のアップグレード):フィーチャービルドは、基本的にWindows 10の新しいビルド番号です(たとえば、1511、1607、1703)。 これらのアップグレードは3〜4か月ごとに公開されます。現在、Windows 10のビルドのアップグレードは、Taniumによって配布された標準パッケージで完了することができます。
    • 2017-XX Cumulative Update (2017-XX累積更新):毎月リリースされている累積的な更新プログラムは、Windows 10の以前の累積的な更新プログラムよりも優先されます。 当月を含む、過去のすべてのセキュリティおよび非セキュリティ修正が含まれます。
  • Windows 7、8.1、2008、2008R2、2012、2012R2
    • Security Monthly Quality Rollup (2017-XX セキュリティ月例品質ロールアップ): パッケージは、現在および過去の全更新の累積です。 当月のみが適用されます。以前のバージョンはすべて置き換えられています。
    • Security Only Quality Update (2017-XX セキュリティのみ品質アップデート):特定の月のみのセキュリティアップデート。 前月の更新は含まれません。 過去の月次の更新プログラムは適用可能で、必要になります。
    同じ月に「Security Monthly Quality Rollup (セキュリティ月例品質ロールアップ)」と「Security Only Quality Update (セキュリティのみ品質アップデート)」の両方を同時に適用しないでください。 両方の更新プログラムがエンドポイントを対象とする場合、Windows Update Agentは「Security Monthly Quality Rollup (セキュリティ月例品質ロールアップ)」をインストールし、「Security Only (セキュリティのみ)」の更新は無視されます。 結果として、何のメリットもなくダウンロードサイズだけが増加します。

詳細については、ブラックリストでパッチを除外する、およびMicrosoftの記事簡略化されたサービスまたはWindowsサービスモデルを参照してください。

パッチの適用

パッチの適用は通常、リストからパッチをコンパイルしてから、Patchパッケージをターゲットコンピュータに配布します。パッチの適用オプションを構成して、パッチのインストールまたはアンインストールの時期と方法を指定できます。

たとえば、変更を適用するためにパッチがインストールされた後でエンドポイントを再起動するとします。通常はブラックリストにあるが何らかの理由で必要となるパッチが出てきたら、新しいバージョンのブラックリストを作成するのではなく、特定のパッチの適用のためにブラックリストを上書きすることができます。緊急の場合は、閉じたメンテナンスウインドウを上書きすることもできます。

パッチのインストール後にエンドポイントを再起動するかどうか選択し、ユーザーに再起動を延期することを許可したりすることが可能です。

メンテナンスウインドウ

メンテナンスウインドウでは、対象コンピュータグループへのパッチのインストールもしくはアンインストールを許可する時間を指定します。複数のメンテナンスウインドウを構成できます。重複する時間帯でも可能です。メンテナンスウインドウは相互に干渉しません。パッチが有効化されるには、パッチの適用とメンテナンスウインドウが一致する必要があります。

可能な限りエンドポイントを最新の状態に保つメンテナンスサイクルを確立することを検討してください。優れたウィルス対策運用で、多くのセキュリティリスクを避けることができます。検討事項として、週末やネットワークの業務時間外でMicrosoft Patch Tuesdayのリリース適用を考慮することなどが挙げられます。

最終更新:2020/01/1218:02| フィードバック

Powered by Translations.com GlobalLink OneLink Software